Innehållsförteckning:
I maj 2013 började Edward Snowden sin vattendrag av dokumentsläpp som skulle skaka vår uppfattning om krypterad digital kommunikation. Säkerhetsexperter, människor som litar på kryptering och till och med skaparna av krypteringsapplikationer själva är nu oroliga över att det kan vara omöjligt att lita på kryptering igen.
Vad ska man inte lita på?
Det är en komplicerad fråga, särskilt eftersom det verkar som att matematik bakom kryptering fortfarande är solid. Det som har ifrågasatts under det senaste året är hur kryptering har implementerats. Organisationer, såsom National Institute of Standards and Testing (NIST) och Microsoft, är i det heta sätet för att påstås kompromissa med krypteringsstandarder och samarbeta med myndigheter.
I november 2013 släppte Snowden-dokument som anklagade NIST för att ha försvagat sin krypteringsalgoritm och gjort det möjligt för andra myndigheter att utföra övervakning. När han anklagades vidtog NIST åtgärder för att bekräfta sig. Enligt Donna Dodson, NIST: s chef för cybersäkerhet i denna blogg, har "nyhetsrapporter om läckta klassificerade dokument orsakat oro från kryptografiska samhället om säkerheten för NIST-kryptografiska standarder och riktlinjer. NIST är också djupt bekymrat över dessa rapporter, av vilka några har ifrågasatte integriteten i utvecklingsprocessen för NIST-standarder. "
NIST är med rätta orolig - att inte förtroendet för världens kryptografiska experter skulle skaka internetens grund. NIST uppdaterade sin blogg den 22 april, 2014 och lägger till offentliga kommentarer mottagna om NISTIR 7977: NIST Cryptographic Standards and Guidelines Development Process, kommentar från experter som studerade standarden. Förhoppningsvis kan NIST och det kryptografiska samhället komma till en angenäm lösning.
Det som hände med den gigantiska mjukvaruleverantören Microsoft var lite mer nebulous. Enligt Redmond Magazine bad både FBI och NSA Microsoft bygga in en bakdörr till BitLocker, företagets drivkrypteringsprogram. Chris Paoli, författaren till artikeln, intervjuade Peter Biddle, chef för BitLocker-teamet, som nämnde Microsoft placerades i en besvärlig position av byråerna. Men de hittade en lösning.
"Medan Biddle förnekar att bygga i en bakdörr, arbetade hans team med FBI för att lära dem hur de kunde hämta data, inklusive inriktning på användarnas backupkrypteringsnycklar, " förklarade Paoli.
Vad sägs om TrueCrypt?
Dammet satte sig nästan runt Microsofts BitLocker. Sedan, i maj 2014, chockade det hemliga TrueCrypt-utvecklingsgruppen kryptografivärlden och tillkännagav att TrueCrypt, den främsta programvaran för öppen källkodning, inte längre var tillgänglig. Alla försök att komma till TrueCrypt-webbplatsen omdirigerades till denna SourceForge.net-webbsida som visade följande varning:
Redan innan Snowden-dokumentet släpptes skulle denna typ av tillkännagivande ha chockat dem som litar på TrueCrypt för att skydda sina data. Lägg till tvivelaktiga krypteringsmetoder, och chocken förvandlas till allvarlig ångest. Dessutom står öppna källor som stöder TrueCrypt nu inför det faktum att TrueCrypt-utvecklare rekommenderar att alla använder Microsofts egen BitLocker.
Naturligtvis har konspirationsteoretikerna haft en fältdag med detta. Det finns många olika åsikter om skälen bakom beslutet. Till en början trodde experter som Dan Goodin och Brian Krebs att webbplatsen hade hackats, men efter en viss kontroll avfärdade båda denna uppfattning.
Två populära teorier som anpassar sig till denna diskussion:
- Microsoft köpte TrueCrypt för att eliminera konkurrensen (BitLocker-migreringsanvisningar gynnade denna teori).
- Regeringens tryck tvingade TrueCrypt utvecklare att stänga webbplatsen (liknande vad som hände med Lavabit).
Den bristen på förtroende för koden fortsätter idag. Det faktum att kryptografer gör en intensiv granskning av TrueCrypt (IsTrueCryptAuditedYet) är ett utmärkt exempel på osäkerheten som fortsätter att existera.
Vad kan vi lita på?
Både Edward Snowden och Bruce Schneier har båda sagt att kryptering fortfarande är den bästa lösningen för att hålla nyfikna ögon borta från känslig personlig och företagsinformation.
Snowden, under sin SXSW-intervju med ACLU: s huvudteknolog Christopher Soghoian och Ben Wizner, också från ACLU, sade: "Kärnpunkten är att kryptering fungerar. Vi behöver inte tänka på kryptering som en arcane, mörk konst, men som grundläggande skydd för den digitala världen. "
Snowden erbjöd sedan ett personligt exempel. NSA har arbetat hårt för att ta reda på vilka dokument han läckte, men de har ingen aning, helt enkelt för att de inte kan dekryptera hans filer. Bruce Schneier är också allt i kryptering. Fortfarande tempererade Schneier sitt stöd med en varning.
"Programvara med stängd källa är enklare för NSA att bakdörr än öppen källkodsprogram. System som förlitar sig på masterhemligheter är sårbara för NSA, antingen genom lagliga eller mer hemliga medel, " sade han.
I lite ironi gjorde Schneiers kommentar också plats innan TrueCrypt slutades, och innan TrueCrypt-utvecklare började föreslå att människor använder BitLocker. Ironien: TrueCrypt är open source, medan BitLocker är sluten källa.
